Tidak, bidang nomor port di header TCP secara teknis dibatasi hingga 2 byte. (memberi Anda 2^16=65536 kemungkinan port)
Jika Anda mengubah protokol dengan mencadangkan lebih banyak bit untuk port yang lebih tinggi, Anda melanggar spesifikasi untuk segmen TCP dan tidak akan dipahami oleh klien. Dengan kata lain, Anda tidak berbicara TCP lagi dan istilah "port" seperti pada "port sumber/tujuan TCP" tidak akan berlaku. Batasan yang sama ada untuk port UDP.
Yang mengatakan, pintu belakang malah bisa berkomunikasi melalui protokol yang berbeda dari TCP atau UDP untuk mengaburkan komunikasinya. Misalnya, icmpsh adalah shell terbalik yang hanya menggunakan ICMP. Pada akhirnya, Anda juga dapat mengimplementasikan protokol transport-layer kustom Anda sendiri menggunakan soket mentah yang dapat memiliki pengertian sendiri tentang port dengan rentang yang lebih besar dari 0-65535.
Tidak, itu nomor itu karena bidang TCP untuk itu hanya sepanjang 16 bit (65536, tetapi dimulai dari 0), jadi pada dasarnya tidak mungkin untuk mengomunikasikan port yang lebih tinggi dari 65535
Posting ini memiliki artikel yang sangat bagus tentang mengapa hal ini terjadi di IPv4, bagaimana hal itu sama di IPv6, dan bagaimana Anda dapat menggunakan kembali port dalam penggunaan reguler.
Jika Anda membangun kembali tumpukan TCP/IP secara lokal di mesin, apakah konsep keseluruhan tidak akan berfungsi karena cara kerja RFC 793 - Standar Protokol Kontrol Transmisi seperti yang disebutkan di bawah dalam beberapa jawaban? lalu65535.
Tidak ada tidak ada layanan TCP/UDP pada port yang lebih tinggi dari 65535. Jika mendukung nomor port di atas 2-1, maka bukan lagi TCP (atau UDP) .
Dapatkah Anda memiliki sesuatu yang lain itu...? Tentu. Dan mungkinkah itu sangat mirip dengan TCP? Sampai-sampai kompatibel ke belakang? Ya untuk kedua pertanyaan tersebut.
Ada begitu banyak pembicaraan tentang perangkat keras dan perangkat yang memiliki pintu belakang yang dibuat sehingga hanya pemerintah yang memiliki akses juga untuk pemantauan, dan saya hanya ingin tahu apakah ini mungkin salah satu cara mereka melakukannya dan menghindari deteksi dan ditemukan?
Jika saya telah mengembangkan perangkat seperti itu, itu akan bergantung pada protokol yang cukup umum untuk menjadi biasa-biasa saja. Paket protokol yang tidak dikenal/ilegal, setelah beberapa lalu lintas tambahan terjadi, akan sangat mencurigakan.
Bersembunyi di (hampir) terlihat jelas
Apa yang dapat dilakukan perangkat semacam itu, misalnya, memeriksa beberapa byte dalam muatan. Mereka biasanya akan menjadi nilai yang tidak berkorelasi; Saya kemudian dapat mengirim paket ke target, atau jika itu adalah router, bahkan tanpa alamat IP sendiri, ke beberapa host acak, bahkan mungkin tidak ada di luar target, menyamar sebagai (katakanlah) permintaan HTTPS, atau upaya login SSH.
Jika Anda melihat paket yang tidak Anda ketahui, Anda mungkin akan curiga. Tetapi bahkan jika Anda melihat di log sesuatu seperti
SSH: failed attempt for user maintenance
SSH: failed attempt for user maintenance
SSH: failed attempt for user maintenance
Anda tidak akan khawatir, terutama jika Anda tidak pengguna "pemeliharaan". Anda mungkin akan menganggap seseorang, di suatu tempat, menemukan serangan terhadap beberapa perangkat dengan pengguna default "pemeliharaan" (heck, jika saya adalah pemerintah, saya dapat memasarkan perangkat seperti itu, membuatnya rentan, dan tidak memperbaikinya, hanya untuk tujuan membenarkan koneksi tersebut pada perangkat yang sama sekali berbeda . Apa hal pertama yang akan Anda lakukan saat melihat upaya seperti itu? Entah apa-apa ("bruteforce tidak berbahaya. Idiot"), google dan mengangkat bahu ("Oh, seseorang mengira saya memiliki CheapRouter 2000. Idiot", mungkin menulis aturan firewall untuk memblokir IP - kecuali bahwa paket masih tiba ke kartu jaringan ).
Dan yang sebenarnya terjadi adalah firmware jahat di router, kartu jaringan, motherboard atau apa pun, mengenali paket dan mengirim kembali jawaban . Itu bisa melakukannya dengan memalsukan paket respons yang menimpa yang "asli".
Satu-satunya gejala dari sesuatu yang sangat buruk terjadi adalah jika Anda membandingkan, katakanlah, lalu lintas masuk dan keluar dari router jahat:
Tuan rumah dengan server SSH:
--> SSH SYN --> ROUTER --> SSH SYN --> HOST
<-- SSH S+A --- ROUTER <-- SSH S+A <-- HOST
--> SSH ACK --> ROUTER --> SSH ACK --> HOST
...
--> LOGIN ----> ROUTER --> LOGIN ----> HOST
<-- FAIL2------ ROUTER <-- FAIL1 <---- HOST packets are different!
Tuan rumah tanpa server SSH:
--> SSH SYN --> ROUTER --> SSH SYN --> HOST
<-- SSH S+A --- ROUTER <-- SSH RST <-- HOST wait, WTF?
--> SSH ACK --> ROUTER HOST
...
--> LOGIN ----> ROUTER HOST
<-- FAIL2------ ROUTER HOST
Jika Anda mengendus kabel, baik ke kiri atau ke kanan perangkat yang disusupi, Anda tidak akan langsung melihat ada yang salah.
Hal mencurigakan lainnya adalah bahwa pengirim tampaknya menggunakan ekstensi TCP Fast Open. Perhatikan bahwa Anda dapat mengirim data tambahan di SYN bahkan tanpa TCP/FO, itu hanya akan diabaikan oleh perangkat yang keduanya non-FO dan non-kompromi.